校园网设计.doc

鞍山科技大学毕业设计（论文） 第42页校园网安全设计摘 要校园网是当今信息社会发展的必然趋势。它是以现代网络技术、多媒体技术及Internet技术等为基础建立起来的计算机网络，一方面连接学校内部子网和分散于校园各处的计算机，另一方面作为沟通校园内外部网络的桥梁。校园网为学校的教学、管理、办公、信息交流和通信等提供综合的网络应用环境。要特别强调的是，不能把校园网简单的理解为一个物理意义上的由一大堆设备组成的计算机硬件网络，而应该把校园网理解为学校信息化、现代化的基础设施和教育生产力的劳动工具，是为学校的教学、管理、办公、信息交流和通信等服务的。要实现这一点，校园网必须有大量先进实用的应用软件来支撑，软硬件的充分结合是校园网发挥作用的前提。一个好的校园网，安全问题是至关重要的。随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人的利益而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法，以最有效的措施来进行防范。关键词：网络规划设计，防火墙技术，网络攻击，网络安全与防护技术 目 录第1章 绪 论1第2章 校园网络的需求分析及设计规则22.1 需求分析22.2 设计原则2第3章 网络规划设计43.1 现有网络状况43.2 网络规模43.3 信息点分布情况4第4章 网络系统设计54.1 系统需求54.1.1 IP地址划分54.1.2 服务组件的配置54.1.3 路由器的配置74.2 网络拓扑结构9第5章 网络安全与防护技术115.1 计算机网络安全115.1.2 网络安全的目的和功能115.1.3 网络安全的潜在威胁125.1.4 网络安全的策略145.2 数据加密技术145.2.1 基本概念145.2.2 对称密码体制145.2.3 公钥密码体制155.2.4 数字签名155.2.5 密钥管理155.3 防火墙技术165.3.1 防火墙的概念165.3.2 防火墙的作用和特性165.3.3 实现防火墙的主要技术175.3.4 防火墙的体系结构185.3.5 防火墙选择原则195.3.6 防火墙的配置195.4 网络病毒与防范195.4.1 网络病毒概述195.4.2 常见的网络病毒215.5 黑客入侵与防范215.5.1 IP欺骗攻击与防范215.5.2 端口扫描与防范225.5.3 缓冲区溢出与防范225.5.4 拒绝服务攻击235.5.5 网络监听与防范235.5.6 黑客攻击的一般步骤23第6章 网络应用技术24第7章 网络设备选型27第8章 综合布线设计338.1 建筑群子系统338.2 水平子系统348.3 垂直干线子系统348.4 设备间子系统358.5 工作区子系统358.6 管理间子系统36第9章 设备清单37第10章 接入技术38结 论39致 谢40参考文献41 第1章 绪 论西华实验中学坐落在我市西郊，那里靠山邻水，风景秀丽，是省试点中学。随着互联网技术的迅猛发展，为适应社会的需求，满足教学的需要，西华实验中学在原有网络系统贫乏的基础上决定对校园网进行优化。网络是信息高速发展的纽带，它不但可以带给我们信息发展的前沿，还能够帮助我们查阅大量的信息，它所提供的信息资源几乎是无穷无尽的。网络作为一种研究工具的出现，极大的拓展了知识的获取范围，大大地降低了我们在每一项工作上所消耗的时间。校园网是网络技术应用于教育事业的一种体现，改善校园网不仅可以充分的提高教学质量，更能够让学生对学习产生兴趣，而且它也是管理、办公、信息交流和通信等现代化的标志。因此，对于一个省试点学府来说，扩大校园网的规模，提高信息传输质量，增添新的设备，采用最新的技术，是事在必行的。第2章 校园网络的需求分析及设计规则2.1 需求分析 校园网首先是一个内部网，建网目的就是为了实现学校办公、教学和管理的信息化，因此应具备学校管理、教育教学资源共享、远程教学和交流等功能，同时还应接入Internet，以使校园网内用户能访问Internet。具体情况如下：校内有两座教学楼，一座实验楼，一座行政楼，四座大楼形成“十”字行。1号教学楼与2号教学楼和实验楼各间相距50米，行政楼与实验楼和2号教学楼也各相距50米。四座大楼之间是学校的操场，是上体育课的地方，也可供学生课下嬉戏放松。两座教学楼各分四层，2号教学楼内有预设2个多媒体教室。实验楼分四层，内预设两个计算机实验室，楼内还有学生活动中心、校园广播站、电子实验室、物理实验室和化学实验室以及体育教研组。行政楼分四层，都是老师以及领导的办公室。本网络要求上百台计算机同时与Internet连接时，通信畅通无阻，下载迅速。对于安全方面，要有绝对的保证，不可让本校的重要信息外泄，也要确保个别信息不能让不相关的学生或老师看到。由于本校预备明年新建学生宿舍，所以此网络要有可扩充性。现今社会，计算机技术发展迅速，因此，在技术上要有更新措施，这样在教学环境上才能不落后于其他院校，具有先进性。有了这样的校园网，教学环境才是真正的提高，教学质量也会更好。时尚生动的教学对于学生而言，学习起来也会产生兴趣，记忆会更加深刻，是快乐的教学方法。2.2 设计原则1、整体设计分步实施2、 稳定安全性3、 整合性4、可扩展性5、示范性6、 技术先进成熟性7、系统的易管理维护性8、可靠性9、 系统的容错性第3章 网络规划设计3.1 现有网络状况本校只有领导办公室才有几台计算机。网络建设尚处于起步阶段。并无已建成的完善的网络在运行。故并无已有的关于网络运行情况方面的资料可供参考。因此，西华实验中学的网络使用情况以及网络设备情况均属空白，有待进一步的开发建设。这便给我们兴建该校园的网络带来了极大的便利。我们可以充分运用当今主流的先进技术，来建设和规划该校园的网络，将该校园的网络进行全面，整体的整合。3.2 网络规模本网络是具有上百台计算机的小型局域网，内设有路由器、交换机、硬体防火墙等设备。楼内还设有设备间和管理间。1号教学楼内共24个教室，每个教室预设两个信息点；2号教学楼内因含有两个多媒体教室，所以本座楼预设236个信息点；实验楼内包括两个计算机实验室，因此预设楼内信息点244个；行政楼共32个办公室，预设160个信息点。整个校园网信息点数量为688个。3.3 信息点分布情况表3.1 信息点分布 楼 楼层号 教室数目 信息点数（个） 1号教学楼 1，2，3，4 6*4 6*4*2 2号教学楼 1，3，4 6*3 6*3*2 2号教学楼 2 2 2*100 实验楼 1 4 4*2 实验楼 2 2 2*100 实验楼 3 6 6*5 实验楼 4 1 1*6 行政楼 1，2，3，4 8*4 8*4*5第4章 网络系统设计4.1 系统需求为了使百台计算机同时与Internet连接时，网络畅通无阻，所以要求传输数率不小于2M。安全技术方面，设有硬体防火墙等安全措施。系统升级可采用无盘网络技术。4.1.1 IP地址划分1号教学楼共48个信息点，IP地址从82号教学楼共236个信息点，IP地址从36实验楼共244个信息点，IP地址从44行政楼共160个信息点，IP地址从604.1.2 服务组件的配置根据系统环境联线及设置各Server的IP；打开“控制面板 添加/删除程序 添加windows组件”；添加IIS、在“网络服务”添加DHCP、WINS、DNS；安装包提示在“d:softi386”目录 。配置DHCPl 从“程序” “管理工具”打开DHCP管理器；l 选择服务器点右键，新建作用域：范围从192.168.X.1192.168.X.255（X是各Server IP第三位的值）；l 输入排除地址范围；l 设置租用期限；l 配置DHCP选项（路由器、DNS、WINS）；l 激活DHCP；l 在其他电脑上设置自动获得IP检验DHCP结果。DNS配置l 在管理工具中打开DNS管理器；l 双击服务器，单击右键“新建区域” 标准主要区域 区域名输入或 完成；l 分别为两个域名建立WWW、FTP、POP、SMTP主机记录（对应服务器IP和MX邮件交换记录，优先级为五；l 用NSLOOKUP检验DNS各记录。WINS配置l 从管理工具中打开WINS管理器；l 添加本地服务器l 打开服务器，选择“活动注册”；l 右键选择“按名称查找”，输入*，显示所有WINS记录；l 右键选择“新建静态映射”，建立静态映射。HOSTS本地解析l 进入c:winntsystem32driversetc目录；l 修改HOSTS文件属性，去掉只读属性；l 用记事本打开HOSTS文件；l 添加解析记录 192.168.X.pc1和192.168.X.pc2；Ping pc1和pc2，看显示出来的IP是否正确。IIS配置l 打开管理工具/Internet服务管理器；l 检查默认web站点的属性，把主目录指向d:softwebiis1,添加默认文档index.html移动到首位；l 访问；l 选择默认站点，右键新建站点bbb，站点主机头为，路径指向d:softwebiis2；l 检查bbb站点的属性，添加默认文档index.html移动到首位；l 访问；l 选择默认站点，右键新建虚拟目录bear，路径指向d:softwebiis3；l 检查虚拟目录bear的属性，添加默认文档index.html移动到首位；l 访问/bear。Windows路由配置（Server1和Server4）l 打开Server1/Server4上管理工具/路由和远程访问；l 选择服务右键配置并启用路由和远程访问；l 选择网络路由器模式，其余按默认配置；l 双击服务器，检查路由接口是否都接好；l 在ip路由选择添加静态Route，使用接口wan，目标是远端局域网，网关是远端服务器wan ip；l 点右键显示Route表信息；l 互ping对端网络的电脑ip；l Tracert对端网络的电脑ip，看路由传送过程。4.1.3 路由器的配置CISCO路由器配置：连接： 超级终端连接到路由器CONSOLE口，连接参数选择“恢复默认值”。配置命令： show running-config 显示运行配置信息 show ver 显示版本信息 show interface 显示端口信息 show startup-config 显示启动状态 show ip route 显示路由状态命令使用方法：1、 查看帮助命令，如用 ？或c ？或con ？或Config ？2、 所有命令可通过简写字母的方式输入，如：interface 简写为int3、 如输入简写时要查看全名，可按TAB键一般用户模式（显示为“”）进入特权用户模式（显示“#”）：enable （退出用exit/disable） 清除配置信息，恢复到初始设置：erase startup-config 启动加载 ： reload 特权用户模式进入终端配置模式： CONFIG T （退出用：exit/ctrl + z） 设置路由器名：HOSTNAME R1 或 R2、或R3、或R4l 以太口设置： INTERFACE E0 按以太口类型进行设置，CISCO721为快速以太口FAST0 设置以太口IP地址： IP ADDRESS A.B.C.D （A.B.C.D为以太口IP地址） 启动端口：NO SHUTDOWNl 高速同步端口S0设置： INTERFACE S0 设置IP地址：IP ADDRESS A.B.C.D 设置时钟： CLOCK RATE 64000 设置速率： BANDWIDTH 1024 绑定端口协议为PPP： ENCA PPP 启用端口： NO SHUTDOWNl 高速同步端口S1设置： INT S1 IP ADDRESS A.B.C.D 设置时钟： CLOCK RATE 64000 设置速率： BAND 1024 注：DCE端口才需设置时钟 绑定端口协议为PPP： ENCA PPP 启用端口： NO SHUTDOWNl 路由的配置 静态路由： IP ROUTE A.B.C.D a.b.c.d（A.B.C.D 指需要到达的网端，a.b.c.d 指大大该网段的广域网端口） 动态路由： IP ROUTING设置路由协议 ROUTE RIP （使用RIP协议） NETWORK A.B.C.D （A.B.C.D为连接该路由器以太口E0及广域网S0、S1的网段）NETWORK A.B.C.DNETWORK A.B.C.D 退出特权用户模式：EXIT 或CTRL + Z 保存配置信息：WRITE 在路由器中PING测试连通性，在主机用PING测试连通性。 4.2 网络拓扑结构信息点硬体防火墙核心交换机路由器8芯多模光纤24口接入式交换机超五类非屏蔽双绞线会聚交换机2号教学楼12台24口接入式交换机共248个信息点实 验 楼12台24口接入式交换机共236个信息点行 政 楼8台24口接入式交换机共160个信息点INTERNETMAIL主服务器WWW服务器HTTPOA服务器FTPDNS/DHCP 1号教学楼 3台24口接入式交换机共48个信息点 图4.1 总体网络拓扑结构图第5章 网络安全与防护技术5.1 计算机网络安全计算机网络安全问题是一个错综复杂的问题，它涉及到系统故障以及有意无意的破坏等。为了确保计算机网络安全，需要采取物理措施、管理措施和技术等多方面措施。计算机网络安全的保护对象主要是数据、资源（硬件资源和软件资源）和声誉（用户形象）。 从本质上来讲，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术及理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。5.1.2 网络安全的目的和功能1、网络安全的目的计算机网络安全就是研究如何保障计算机资源的安全，即计算机的系统资源和信息资源的安全。影响计算机网络安全的因素主要有以下几种：实体安全、运行安全、数据安全、软件安全和通信安全。 2、网络安全的功能和措施计算机网络安全问题是一个很复杂的问题，任何时候都不会有一劳永逸的解决措施。因为计算机的安全与反安全会一直地进行下去，故要使计算机网络具有较高安全性，需要将计算机系统的各种安全防护技术（如实体安全防护技术、防电磁辐射泄露技术、软硬件防护技术、防火墙技术、数据保密变换以及安全管理与法律制裁等）结合使用，对计算机系统进行综合分层防护，从而提高计算机网络的整体防护水平。分层防护的原理见图5.1，其中最外层是社会层，主要通过法律、管理、伦理道德教育等措施来减少犯罪几率；由外及内，分别是实体安全防护层、电磁防护层、硬软件防护层、通信和网络防护层、数据保密变换层等。1 社会层 2 实体安全防护层 3 电磁防护层 4 硬软件防护层 5 通信和网络防护层 6 数据保密交换层 1 2 3 4 5 6 图 5.1 计算机及网络的分层防护加强计算机安全管理的法规建设，建立和健全各项规章制度是保障计算机网络安全的重要一环。利用制定人员的管理制度，加强人员审查，在组织管理上避免单独操作，操作与设计分离等制度和措施降低了作案的可能性。5.1.3 网络安全的潜在威胁安全威胁是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性使用所造成的危害。安全威胁可分为故意威胁和偶然威胁，所谓偶然威胁是指由偶然因素造成的威胁（如信息被发往错误的地址）。而故意威胁又可进一步分为被动威胁和主动威胁，被动威胁是只对信息进行监听（如搭线窃听），而不对其进行修改。主动威胁包括信息进行故意的修改（如改动某次金融会议中货币的数量）。1、 基本威胁信息安全的基本目标是实现信息的机密性、机密性、完整性、可用性以及资源的合法性使用。常见的4种基本威胁是：信息泄露、完整性破坏、拒绝服务和非法使用。 2、主要的可实现威胁主要的可实现威胁可以分为渗入威胁和植入威胁。主要的渗入威胁有：假冒、旁路控制和授权侵犯。 主要的植入威胁有：特洛伊木马（Torjan Horse）和陷门。 3、潜在威胁通过对各种威胁进行分析，可以发现某些特定的威胁可以导致更基本的威胁发生，这些特定威胁称为潜在威胁。例如对于信息泄露这样的一种基本威胁，可以找出以下几种潜在的威胁：（1）窃听；（2）业务流分析；（3）人员疏忽；（4）媒体清理。图5.2描绘出了一些典型威胁以及它们之间的相互关系。信息泄露 完整性破坏 拒绝服务 非法使用 窃听 渗入 植入 业务流分析 假冒 窃取 电磁/射频截获 旁路控制 特洛伊木马 人员疏忽 授权侵犯 陷门业务欺骗媒体清理 物理侵入 截获/修改 信息泄露 资源耗尽 否认 完整性破坏 完整性破坏 窃取 重放 图 5.2 典型的潜在威胁及其相互关系通过调查分析可知，下面几种威胁是最主要的威胁：授权侵犯、假冒、旁路控制、特洛伊木马、陷门和媒体清理等。5.1.4 网络安全的策略当安全具体化时，它有一定范围，这个范围便是属于某个组织的处理和通信资源的集合，称为安全区域。在某一个安全区域内，应该有一个关于安全问题的总体目标和规划，这就是安全策略。以下是几种常见的网络安全策略：（是抽象策略，不是具体策略）（1）最小特权原则。（2）多道防线。（3）阻塞点。（4）最薄弱环节。（5）失效保护机制。（6）普通参与。（7）防御多样化。5.2 数据加密技术数据加密技术是实现安全服务的重要基础。它包括对称密码体系、非对称密码体系、信息认证、数字签名和密钥管理等方面内容。5.2.1 基本概念密码学是认识密码变换本质，研究密码保密与破译的基本规律的学科。密码学分为密码编码学和密码分析学（也称密码破译学）两类。密码体制分为对称密码体制和非对称密码体制两类。对称密码体制就是加密和解密的两个密钥相同，或是两个密钥虽然不同，但可以从其中一个推出另一个。特点是算法公开，两个密钥保密。非对称密码体制（又称公钥密码体制）就是加密和解密所使用不同的密钥，并且两者不能相互推出。特点是算法公开，其中的一个密钥也可以公开。5.2.2 对称密码体制DES加密算法1、算法描述：DES采用分组方式，使用56位的密钥，对64位的数据块加密，并将64位的数据块进行16轮迭代。2、简述加密过程：（1）IP置换 即按位重新组合并将输出的64位数据分成L0左32位和R0右32位；（2）16轮迭代 迭代过程为：上一层的右32位成为下一层的左32位，表示为：Li+1=Ri；上一层的左32位与函数f（x）进行异或运算后成为下一层的右32位，表示为：Ri+1=Li f（Ri，Ki+1）；（i=0，1，2，15）（3）IP逆置换得到密文。3、函数f f（Ri，Ki+1）的全部功能由置换E、S盒、P置换和一些相关的运算组成。DES解密过程同加密过程算法相同，同样经过IP置换、16轮迭代、IP逆置换三个过程。区别是解密时第一次迭代用子密钥K16、第二次用K15、最后一次用K1，即算发相同，子密钥颠倒。5.2.3 公钥密码体制公开密码体制包含两个模型，一个是加密模型，作用是保证数据被安全的秘密的传送；令一个是认证模型，作用是确认发送方。在公钥加密算法中，RSA是一个可逆你公钥密码体制，采用分组加密方法。5.2.4 数字签名数字签名技术是实现交易安全的核心技术之一，它的实现基础就是加密技术。数字签名必须保证以下几点：（1） 接受者能够核实发送者对报文的签名。（2） 发送者事后不能抵赖对报文的签名。（3） 接受者不能伪造对报文的签名。目前已有多种实现数字签名的方法。其中采用公开密钥算法要比常规算法更容易实现。5.2.5 密钥管理加密技术都依赖于密钥，所以密钥的管理是一个非常重要的问题。密钥管理方法因所使用的密码体制的不同而不同。在使用对称密码体制加密时，要求通信双方共享密钥。在公钥密码体制中，公钥不需要保密。所有的通信者都可以使用某方的公钥加密信息后向该方发送信息，但是存在一个公钥的完整性问题。目前解决的方法是采用公钥证书方式。5.3 防火墙技术防火墙是设备在不同网络或网络安全域之间一系列部件的组合。防火墙可以分为硬件防火墙和软件防火墙两类。5.3.1 防火墙的概念“防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway),从而保护内部网免受非法用户的侵入。 所谓防火墙就是一个能把互联网与内部网隔开的屏障。5.3.2 防火墙的作用和特性1、防火墙的作用（1）防火墙能强化安全策略（防火墙是阻塞点）。（2）防火墙能有效的记录Internet上的活动。如作日志记录、有报警功能。（3）防火墙能限制暴露用户点，隐藏内部信息。（4）防火墙是一个安全策略的检查站。（5）防火墙有转换地址功能（IP地址）。2、防火墙的特性（1）所有内部对外部的通信都必须通过防火墙，反之亦然。（2）只有按安全策略所定义的授权，通信才允许通过。（3）防火墙本身是抗入侵的 。（4）防火墙是网络的要塞点，是达到网络安全目的的有效手段，因此，尽可能将安全措施都集中在这一点上。（5）防火墙可以强制安全策略的实施。（6）防火墙不能防范恶意的内部知情者。（7）防火墙不能防范不通过它的连接。（8）防火墙不能防御所有的威胁。（9）防火墙不能防范和消除网络上的PC机的病毒。5.3.3 实现防火墙的主要技术1、数据包过滤技术数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(AccessControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。2、应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。3、代理服务技术代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接，由两个终止代理服务器上的链接来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。5.3.4 防火墙的体系结构防火墙的体系结构可分为简单结构和复杂结构。简单结构包括屏蔽路由器结构和双重宿主主机结构；复杂结构包括屏蔽主机体系结构（应用最多）和屏蔽子网体系结构。本网络选用屏蔽子网体系结构（见图5.3）特点：此类防火墙结构有两个屏蔽路由器和一个壁垒主机三部分构成。两个路由器运行包过滤技术，主要负责数据的过滤检查。壁垒主机运行代理服务技术，负责将合法数据转发出去。入侵者必须通过内外路由器、壁垒主机三道防线才能进入内部系统。既使壁垒主机被侵害，内部系统仍然是安全的。优点：安全性很高（三道防线、内部网对外部不可见、代理服务）。缺点：结构复杂，造价高。Internet外部屏蔽路由器壁 垒 主 机 Intranet内部屏蔽路由器防 包过滤技术 火 墙 代理服务技术 系 统 包过滤技术 内 网 图5.3 屏蔽子网体系结构5.3.5 防火墙选择原则1. 防火墙自身是否安全。2. 系统是否稳定。3. 防火墙是否高效。4. 防火墙类的访问控制设备是否可靠。5. 功能是否灵活。6. 配置是否方便。7. 管理是否简便。8. 是否可以抵抗拒绝服务攻击。9. 应考虑的特殊需求。10. 是否具有可扩展、可升级性。5.3.6 防火墙的配置有三种配置防火墙的方法：Web服务器位于防火墙内、防火墙外、防火墙上。校园网一般采用Web服务器位于防火墙上（见图5.4）优点：内网安全。缺点：警惕Web服务器的安全。内网外网 Web服务器和防火墙 图5.4防火墙的配置5.4 网络病毒与防范5.4.1 网络病毒概述简单地说，计算机病毒就是人为编写的、具有特定功能的程序。是一种在计算机系统运行过程中能把自身精确或有修改地复制到其他程序中并具有破坏性的程序或代码。世界上第一例病毒产生于1983年。病毒按破坏行为可分为良性病毒和恶性病毒；按病毒感染目标可分为引导型病毒（如Monkey 病毒）和文件型病毒（如CIH 病毒）。网络病毒的特点是传播速度快，传播方式多，清除难度大，破坏性强。要作好反病毒技术的研究，首先要认清病毒的特点和执行机理，为防范和清除计算机病毒提供理论基础。根据对计算机病毒的产生，传染和破坏行为进行分析，计算机病毒有以下几个主要特点：（1）人为编写（2）自我复制能力强（3）夺取系统的控制权（4）隐蔽性（5）潜伏性（6）不可预见性防病毒系统设计原则：（1）整个系统的实施过程应保持流畅和平稳，做到尽量不影响既有网络系统的正常工作。（2）安装在原有应用系统上的防毒产品必须保证其稳定性，不影响其它应用的功能。在安装过程中应尽量减少关闭和重新启动整个系统。（3）防病毒系统的管理层次与结构应尽量符合网络自身的管理结构。（4）防病毒系统的升级和部署功能应做到完全自动化，整个系统应具有每日更新的能力。（5）应做到能够对整个系统进行集中的管理和监控，并能集中生成日志报告与统计信息。 病毒传播的另外一个途径是通过局域网内的文件共享和外来文件的引入，所以，校园网络最妥善的防病毒方案应当考虑解决客户端的防病毒问题。如果病毒在局域网内的所有客户端传播之前就被清除，网络管理员的工作量就减少了很多网关防毒。 网关防毒是对采用HTTP、FTP、SMTP协议进入内部网络的文件进行病毒扫描和恶意代码过滤，从而实现对整个网络的病毒防范。5.4.2 常见的网络病毒（1）宏病毒：是寄存在宏中的病毒，宏病毒分为软件本身提供的公用宏和自定义宏。Word宏病毒的病毒版本不兼容，它可分为公用宏病毒和私用宏病毒。（2）邮件“爱虫”病毒=“I LOVE YOU” ：附件带毒。（3）特洛伊木马：木马病毒，木马能是控制机器，病毒能监视机器，可以破坏数据或使数据丢失。（4）泡沫小子病毒：邮件附件带毒，标题是“Bubble Boy is back！” 。（5）Happy 99病毒：附件含有happy 99.exe文件。（6）“秋天的童话”病毒 ：附件带毒，标题是“秋天的童话”。此病毒格式化C盘，破坏硬盘数据，包含代码“Because you do not love your motherland，so we are formatting your HardDisk！” 。（7）捆绑器病毒：病毒和游戏软件捆绑在一起。（8）网页病毒：一打开此网页立即中毒。5.5 黑客入侵与防范5.5.1 IP欺骗攻击与防范IP欺骗（IP Spoofing）是指入侵者伪造生成具有源地址的IP包，冒充被信任主机，与被攻击系统进行信任连接，从而获得某种利益。IP欺骗的原理：IP欺骗攻击是基于TCP/IP协议本身的缺陷（只关心数据是否发送和是否接收到，而对于是何种数据及数据内容无法检查）。攻击通常采用手段为SYN（同步序列号）湮没和TCP劫取。其中SYN湮没是向被信任主机发送大量SYN数据，使系统不能正常的通信，从而使其进入一种哑状态。这时，攻击者就冒充该系统劫取其与目标系统的TCP连接，利用彼此间的信任关系，达到攻击的目的。IP欺骗的一般步骤：1、选定目标主机，探察信任模式；2、寻找网络踪迹；3、掩盖踪迹；4、使被信任主机丧失工作能力；5、序列号猜测；6、利用连接放置系统后门。IP欺骗的防范方法：1、抛弃基于IP大致的信任策略。2、进行包过滤。3、使用加密方法。4、使用随机化的初始序列号。5、通过对包的监控来检查IP欺骗。5.5.2 端口扫描与防范端口扫描是指攻击者向目标系统的各端口发送连接请求，根据目标系统各端口返回的信息（SYN/ACK确认信息或RST错误信息）能判断出哪些端口是打开的，哪些端口是关闭的，进而攻击目标系统。端口扫描的方法有很多种，可以手工扫描，也可以用端口扫描软件进行扫描。工作原理：向目标系统各端口发送连接请求，若端口是打开的，就会返回SYN/ACK确认信息；若端口是关闭的，则返回RST错误信息。端口扫描的防范方法：1）只留下经常使用的端口，关闭其他端口。2）利用防端口扫描的工具（如：SATAN软件、ISS软件）。3）安装个人防火墙，并及时升级。5.5.3 缓冲区溢出与防范缓冲区是计算机内存中的一个连续的空间，用来存放程序中用到的数据。缓冲区溢出就是指向空间有限的缓冲区中放入过多的数据，超出缓冲区的存储范围，造成缓冲区溢出。危害：（1）缓冲区溢出会覆盖掉内存中的其他空间，造成程序运行出错，严重时引起死机。（2）攻击者故意造成缓冲区溢出，夺取系统控制权，控制计算机。缓冲区溢出的原理：通过向缓冲区中放入过多数据改变子函数的返回地址，攻击者会在指定的返回地址处编写系统控制权的代码，一旦执行，攻击者就会取得系统控制权，控制计算机。缓冲区溢出的防范方法：修补系统、安装补丁程序、及时升级系统。5.5.4 拒绝服务攻击拒绝服务攻击是指一个用户占据了系统大量的共享资源，使系统没有剩余的资源供其他用户使用，对其他合法用户拒绝服务。这种攻击包括两类，一种是破坏资源（如：删除文件），另一种是消耗资源（如；占满机器内存）。黑客使用拒绝服务攻击的方式是DoS攻击（Denial of Service），它破坏极大，难以防范。常见的拒绝服务攻击实例：（1）SYN湮没 （2）smurf拒绝服务攻击 （3）包炸弹邮箱炸弹 （4）广播风暴 （5）分布式服务失效攻击防范拒绝服务攻击的方法：1. 控制用户占据系统内存，控制用户占用CPU的时间。2. 优化路由器，优化网络结构。3. 使用升级的最新软件。4. 安装个人防火墙，关闭不必要的服务。5.5.5 网络监听与防范网络监听是指入侵者进入目标系统后，使用网络监听工具来窃取信息。它属于二级攻击手段。网络监听的防范：对数据加密、使用安全网络拓扑结构（将网络划分成小的子网，用交换机比较安全）。5.5.6 黑客攻击的一般步骤1、确定攻击目标；2、选用入侵方式；3、入侵。第6章 网络应用技术1、Spanning-treeSpanning-tree 协议(生成树协议)当网络中有冗余连接时，该协议通过计算机自动将优先级较低的连接屏蔽，使其作为备份，只在优先级较高的主线路断线时才激活它 ;这样做的好处是防止局域网中回路的产生，同时也保障了数据传递的可靠性。 冗余连接可屏蔽、恢复行政楼1#楼2#楼 图6.1 Spanning-tree2、Multilink Trunking(port Trunking)技术简介Multilink Trunking有的也称（ Multilink Trunking 多链路冗余链），用以保证负载均衡及线路备份。port Trunking技术可以在交换机之间或者交换机与服务器连接最多4条线路，实现负载均衡及线路冗余。如果采用快速以太网实现port Trunking，可以达到800M带宽，若采用千兆以太网作多链路冗余连接，最多可以实现8G带宽。当两个交换机之间的一条线路出现故障，传输的数据会快速自动切换到另外一条线路上进行传输，不影响网络系统的正常工作，无需人工干预。 捆绑带宽100M带宽全双工通信、使用Multilink trunk技术可达到800M带宽 图6.2 Multilink Trunking 3、虚拟局域网虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。它是建立在交换式局域网的基础上，通过网络管理软件构建的，可以跨越不同网段和网络。 VLAN 1VLAN VLAN 2图6.3虚拟局域网VLAN技术可以将不同的系别逻辑的划分成不同的网段，以提高安全性、方便性。4、Trunk技术链路聚合（Trunk）是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。Trunk的主要功能就是仅通过一条链路就可以连接多个VLAN。TRUNK技术使处于不同SW的相同序号的VLAN相通信